classic.ISPforum.cz

Topologia: Internet<------>VDSL modem bridge <------>RB450_PPPoE_GW<------>LAN
V LAN je jeden fyzicky server s apache (vhosts).
Niekolko virtual hostov pouziva sifrovany pristup na web (https)
Pre https mam v MK ip firewall nat a toto funguje dobre

Pre http mam v MK ip firewall nat a toto nefunguje vobec

Vypol som v MK firewall (vyposol som firewall aj na servery) ale z vonka sa na http nedostanem
Virtualhosty pre http su nakonfigurovane
Pravdepodbne sa paket z vonka nedostane ani na MK, pretoze na MK v NAT mam 0 pakets, 0 Bytes.
Nemam ponatia co to moze blokovat.
Pamatam sa, ze niekedy davno (1-2 roky dozadu) mi to fungovalo normalne.
Samozrejme na servery som robil urcite nejake zmeny, ale to asi s tym nesuvisi, kedze pakaet nedojde ani do MK (resp. nieco ho blokuje.

Pravděpodobně packet 80 zpracuje Mikrotik.
Je třeba admin rozhraní Mikrotiku přepnout na jiný port, nebo forwardovat jiný port dovnitř na 80.

Ja sa na web mikrotiku ani nedostanem (uz som to tu riesil davnejsie viewtopic.php?f=5&t=21826 (ale nevyriesil som to)).
BTW skusil som v ip services vypnut www 80 ale bez vysledkov.

jany píše:Ja sa na web mikrotiku ani nedostanem (uz som to tu riesil davnejsie viewtopic.php?f=5&t=21826 (ale nevyriesil som to)).
BTW skusil som v ip services vypnut www 80 ale bez vysledkov.

A jak tedy nastavuješ ten port forwarding?

DNAT je v prerouting. Cílovou adresu a port to přepíše dřív, než se k tomu INPUT vůbec dostane.

mirek.k píše:Pravděpodobně packet 80 zpracuje Mikrotik.
Je třeba admin rozhraní Mikrotiku přepnout na jiný port, nebo forwardovat jiný port dovnitř na 80.

mirek.k píše:

jany píše:Ja sa na web mikrotiku ani nedostanem (uz som to tu riesil davnejsie viewtopic.php?f=5&t=21826 (ale nevyriesil som to)).
BTW skusil som v ip services vypnut www 80 ale bez vysledkov.

A jak tedy nastavuješ ten port forwarding?

winbox

Pak si na Mikrotiku pust Tools Torch a uvidíš, co se kam dostane.

Ak si v ip firewall connections vyfiltrujem spojenia podla ip adresy a ak sa pripajam cez https, tak spojenie je pekne vidiet.
To iste cez torch (https spojenie vidim).
Ak sa vsak pripojim na http tak nevidim nic, proste ako keby to na router ani nedorazilo

Ti tam holt sedí management toho modemu. Co naděláš ...

Ja mam casto problem s tym, ze nieco funguje a potom to zrazu fungovat prestane a clovek nevie preco...
Asi budem musiet urobit cistu instalaciu a vsetko rucne znova nahodit (backup by to mohol znova pokazit).

ludvik píše:Ti tam holt sedí management toho modemu. Co naděláš ...

To by mělo mít jednoduché řešení - uživatel by volal port např. 88 a Mikrotik by to při dstnat poslal na 80.
Další nápad je změnit www port modemu.

jany píše:Ja mam casto problem s tym, ze nieco funguje a potom to zrazu fungovat prestane a clovek nevie preco...
Asi budem musiet urobit cistu instalaciu a vsetko rucne znova nahodit (backup by to mohol znova pokazit).

Takhle se ale Mikrotik nechová. Problém bývá z 99 % mezi židlí a klávesnicí.

To mas pravdu (nie som odbornik na RB ani MK) ale toto co si poradil nezabera. A vacsina problemov co som mal a pytal som sa, tak sa nevyriesila.
Mal by som este otazocku: teraz mam na RB450 ROS 6.30. Na https://mikrotik.com/product/RB450#fndtn-downloads je posledna 6.41.1 (Current), alebo je lepsie pouzit 6.39.3 (Bugfix only)?

To záleží na to, jak kritické je to zařízení.
Pokud hodně: BugFix. Pokud středně: Current.

ludvik píše:Ti tam holt sedí management toho modemu. Co naděláš ...

Je to teoreticky aj mozene a kedze paket nedojde vobec na MK, tak ho asi zahodi niekde modem.
Na 1000% viem, ze pred nejakym casom mi na porte 80 fungovali virt. hosty z wan.
Avsak v lete po burke som menil modem a uz sa presne nepamatam ako som to konfiguroval, ale cca od vtedy to asi nefunguje.
Modem som kupil presne taky isty aky som mal aj pred tym (zyxel VMG 1312) a konfiguracia spocivala v tom, ze som to hodil do bridge modu.
Teraz cumim do konfiguraci VDSL modemu a mam to nastavene nasledovne:
V Layer 2 rozhrani su na konfiguraciu 3 moznosti a to:

Prejdem do menu WAN sluzby a tam su 2 predkonfigurovane moznosti pre ppp0.1 a ptm0.1
Ja som vybral sluzbu ptm0.1 a dal som to upravit.
V tomto nastaveni staci prepnut typ sluzby WAN na bridging a 802.1P= 4 a 802.1Q VLAN ID=2510.


To je vsetko co sa tyka nastavenia pre bridge mode.
Ak to potvrdim, tak v MK pppoe hned konektne.
Internet funguje (vsetko funguje) okrem portforwarding portu 80 hmm...
V modeme som este vypol firewall, ale nepomohlo to.